Microsofts nye sikkerhetsanalysator overbeviser ikke

Et nytt gratisprogram fra Microsoft lar brukere analysere sin egen IT-sikkerhet. Førsteinntrykket overbeviser ikke.

Mandag ble sikkerhetsverktøyet Microsoft Baseline Security Analyzer lagt ut til gratis nedlasting fra Microsofts nettsted. Programmet brukes til å analysere sikkerheten på maskiner som kjører under Windows NT 4, Windows 2000 og Windows XP.

Programmet er lenge etterlengtet. Selv vanlige PC-er har et utall sikkerhetsinnstillinger, og de færreste greier å følge med Microsofts evigvarende strøm av fikser etter hvert som hackermiljøer oppdager stadig nye sårbarheter. Du kan bruke programmet til å analysere både lokale maskiner og andre maskiner i lokalnettet. Foreløpig er det bare tilgjengelig på engelsk.

Det går fortere å kjøre en skanning enn å hente seg en kopp kaffe. Rapporten gir en strukturert oversikt over hva ting du bør ta stilling til. Først kommer en oversikt over sårbarheter knyttet til Windows-fikser, filsystem, brukerkonti og passordinnstillinger. Det følges opp av opplysninger om hvordan av lokale tjenester er tilgjengelige for andre og hvilke aktive tjenester som kanskje ikke er helt nødvendig slik maskinen brukes. Tjenester som webserveren IIS og SQL Server skannes spesielt, og har egne seksjoner i rapporten. Til slutt kommer en skan av spesielle applikasjoner som Internet Explorer og Outlook, der sårbarhetene tradisjonelt er mange, og der det er stor fare for hull i konfigureringen.

Min egen Windows 2000 PC ble karakterisert som "alvorlig sikkerhetsrisiko". Det manglet hele sju oppgraderinger av Windows. Rapporten ga lenker direkte til de enkelte sikkerhetsbulletinene. Jeg foretrakk å kjøre Windows Update, der jeg fant en samleoppdatering som tok seg av flere sårbarheter. En ny kjøring av analyseprogrammet viste at det fortsatt manglet to oppdateringer, hvorav én kritisk: "Incorrect VBScript Handling in IE can Allow Web Pages to Read Local Files" fra 14. februar i år. Denne oppdateringen ble installert for seg, og maskinen ble slått av og startet på nytt. En ny analyse ga nøyaktig samme resultat. Fiksen av skript-håndteringen var, ifølge Analyzer, ikke installert. En ny kjøring av Windows Update forsikret meg at alle kritiske sikkerhetsfikser var installert.

Det er med andre ord en uoverensstemmelse mellom det Windows Update forteller meg, og det Baseline Security Analyzer kommer fram til. Dette er absolutt ikke betryggende. Det er også svært betenkelig at Analyzer sier at fiksen ikke er installert, selv når jeg - for sikkerhets skyld to ganger - har fulgt instruksene og faktisk installert den. Spørsmålet mitt er fortsatt: Er jeg sårbar, eller ikke? Feilen er meldt videre til Microsoft som ikke hadde noen umiddelbar forklaring.

Den andre kritiske sårbarheten Analyzer pekte på, gjaldt en parameter i den for vanlige brukere obskure innstillingsfilen Windows Registry, kalt "RestrictAnonymous". Her ble det opplyst at jeg var innstilt på standardveriden, det vil si 0 (null), og at jeg burde sette verdien til 2 (to) for maksimal sikkerhet.

I forklaringen ble det opplyst at med RestrictAnonymous=0, kan enhver bruker tappe min maskin for systeminformasjon, blant annet brukernavn med tilhørende detaljer, regler for brukerkonti og liknende. Slik informasjon kan brukes av anonyme brukere for å angripe systemet. Dette gjelder ikke bare brukere som låner maskinen fysisk, men også de som kommer inn gjennom nettet. Med RestrictAnonymous=2, noe som ikke er tilgjengelig på Windows NT 4, må all anonym tilgang godkjennes eksplisitt.

Så kommer følgende advarsel: "Før du setter denne verdien til 2, se artikkelen Q246261, 'How to Use the RestrictAnonymous Registry Value in Windows 2000.'" En lenke til denne artikkelen er heldigvis gitt. Jeg får også opplyst at Windows XP er noe lettere å forholde seg til, siden RestrictAnonymous der overstyres av en ny parameter, EveryoneIncludesAnonymous, som igjen kan innstilles gjennom dette systemets Security Configuration Manager. Men i Windows 2000 må jeg selv finne ut av at Registry kan redigeres med hjelpeprogrammet RegEdit.

Det går fram av den anbefalte artikkelen Q246261, som ellers bare gjelder server-utgavene av Windows 2000. (Oppskriften er som følger: Kjør RegEdit fra kjør-linjen i startmenyen, og søk etter RestrictAnonymous. På andre og siste treff merker du parameteren og velger Endre i menyen fra høyre mustast.)

Det merkelige er at etter å ha satt RestrictAnonymous=2, startet maskinen på nytt, og sjekket at parameterverdien faktisk er endret til 2, påstår Analyzer fortsatt at verdien er 0. Det undergraver både min selvtillit og tilliten til gratisprogrammet.

Det som er fint med Baseline Security Manager er at du får oversikt over sikkerhetsproblemene, og en sjekk på at alle fiksene er på plass. Men det er ikke overbevisende at fikser som man har fulgt installasjonsinstruksene til, fortsatt framstår som uinstallert, og at gjennomførte endringer i Windows Registry, ikke oppdages.

Til toppen